Маршрутизатор часто является последним контактным устройством в сети, которое соединяет всю сеть с внешними сетями и Интернетом. Если маршрутизатор каким-то образом скомпрометирован, легко скомпрометировать все устройства - компьютеры, принтеры, сканеры и даже смартфоны - подключенные к нему. Неверное печенье сделала около 12 миллионов маршрутизаторов уязвимыми, в 189 странах, с 2005 года, и исправление является сложным процессом, так как есть много производителей. В этой статье объясняется, что такое синдром неудачи cookie, а затем компилирует список затронутых брендов маршрутизатора.
Что такое уязвимость Cookie от Misfortune
Согласно CheckPoint,
“Misfortune cookie vulnerability is a critical vulnerability that allows a cyber criminal to take over a gateway remotely and use it to compromise all devices interconnected to that gateway.”
Кроме того, исследователи Checkpoint заявляют, что уязвимость присутствует на миллионах устройств по всему миру - от разных производителей и от разных брендов. Misfortune Cookie позволяет любому злоумышленнику легко использовать любую сеть, используя уязвимость. В нем также говорится, что эксплойты уже доступны в глубоком Интернете, и люди активно используют их для своих собственных завоеваний.
На сегодняшний день обнаружено более 12 миллионов устройств с такой уязвимостью!
Зачем называть его Misfortune Cookie
Простыми словами, поскольку эта уязвимость основана на HTTP-файле cookie и приносит несчастье владельцу устройства, он называется Misfortune cookie в строках удачных файлов cookie.
Чтобы быть более техническим, Misfortune cookie вызвано ошибкой в механизме управления cookie HTTP в программном обеспечении маршрутизатора / шлюза. Это позволяет преступникам определять уязвимость запроса на соединение, отправляя разные файлы cookie на шлюз или маршрутизатор. В большинстве сетей маршрутизатор является шлюзом, и, следовательно, контрольная точка использует слово «шлюз».
“Attackers can send specially crafted HTTP cookies that exploit the vulnerability to corrupt memory and alter the application state. This, in effect, can trick the attacked device to treat the current session with administrative privileges – to the misfortune of the device owner.”
Ваш Router затронут Misfortune Cookie?
Файл cookie Misfortune затронул многие маршрутизаторы или другие типы шлюзов, которые содержат определенный тип программного обеспечения. Это программное обеспечение, Rompager от AllegroSoft, используется разными производителями в создании маршрутизаторов, и, следовательно, уязвимые устройства распространяются по всему миру. Rompager встроен в прошивку маршрутизаторов. Уязвимость существует с 2005 года, и, несмотря на исправления от Allegrosoft, многие устройства по-прежнему уязвимы, поскольку люди (пользователи) не знают об этой уязвимости.
Вы попали под угрозу, если не можете попасть на страницу конфигурации маршрутизатора. Нет других способов определить, были ли вы затронуты. Чтобы узнать, уязвимы ли вы, ознакомьтесь с перечнем уязвимых устройств для предотвращения ошибок в конце этого сообщения.
Защита и профилактика от Misfortune Cookie
Вы не можете сделать это самостоятельно. Вы должны спросить своего поставщика о патче, а затем запустите прошивку с исправленной прошивкой. Однако это мало практично, так как многие поставщики еще не создали исправления, хотя уязвимость присутствует с 2005 года или ранее.
Контрольная точка просит вас использовать исключительно хороший брандмауэр что может снизить ваши шансы быть скомпрометированным. Однако я не понимаю, как брандмауэр предотвратит злоумышленника, если он или она уже скомпрометировали ваш сетевой шлюз (маршрутизатор).
Короче говоря, вам нужно подождать немного дольше, чтобы получить патч от вашего поставщика. Хотя Allegrosoft выпустила и рекомендации по безопасности и исправления, поставщики поставляют уязвимые устройства. Это серьезная проблема, так как вам приходится ждать, пока поставщики выпустят патч своим клиентам.
Список неуязвимых устройств cookie
| 110TC2 | Beetel | BW554 | SBS |
| 16NX073012001 | Nilox | C300APRA2 + | Conceptronic |
| 16NX080112001 | Nilox | Компактный маршрутизатор ADSL2 + | компактный |
| 16NX080112002 | Nilox | Д-5546 | ден-это |
| 16NX081412001 | Nilox | Д-7704G | ден-это |
| 16NX081812001 | Nilox | Delsa Telecommunication | Delsa |
| 410TC1 | Beetel | Д-Link_DSL-2730R | D-Link |
| 450TC1 | Beetel | DM 856W | Binatone |
| 450TC2 | Beetel | DSL-2110W | D-Link |
| 480TC1 | Beetel | DSL-2120 | D-Link |
| AAM6000EV / Z2 | Zyxel | DSL-2140 | D-Link |
| AAM6010EV | Zyxel | DSL-2140W | D-Link |
| AAM6010EV / Z2 | Zyxel | DSL-2520U | D-Link |
| AAM6010EV-Z2 | Zyxel | DSL-2520U_Z2 | D-Link |
| AAM6020BI | Zyxel | DSL-2600U | D-Link |
| AAM6020BI-Z2 | Zyxel | DSL-2640R | D-Link |
| AAM6020VI / Z2 | Zyxel | DSL-2641R | D-Link |
| AD3000W | StarNet | DSL-2680 | D-Link |
| Модем ADSL | неизвестный | DSL-2740R | D-Link |
| Модем ADSL / Маршрутизатор | неизвестный | DSL-320B | D-Link |
| ADSL-маршрутизатор | BSNL | DSL-321B | D-Link |
| AirLive ARM201 | AirLive | DSL-3680 | D-Link |
| AirLive ARM-204 | AirLive | DT 815 | Binatone |
| AirLive ARM-204 Приложение A | AirLive | DT 820 | Binatone |
| AirLive ARM-204 Приложение B | AirLive | DT 845W | Binatone |
| AirLive WT-2000ARM | AirLive | DT 850W | Binatone |
| AirLive WT-2000ARM Приложение A | AirLive | Модем DWR-TC14 ADSL | неизвестный |
| AirLive WT-2000ARM Приложение B | AirLive | EchoLife HG520s | Huawei |
| AMG1001-Т10а | Zyxel | EchoLife Home Gateway | Huawei |
| APPADSL2 + | приблизительно | EchoLife Portal de Inicio | Huawei |
| APPADSL2V1 | приблизительно | GO-DSL-n151 | D-Link |
| AR-7182WnA | Edimax | HB-150N | Hexabyte |
| AR-7182WnB | Edimax | HB-ADSL-150N | Hexabyte |
| AR-7186WnA / B | Edimax | Hexabyte ADSL | Hexabyte |
| AR-7286WNA | Edimax | Домашний шлюз | Huawei |
| AR-7286WnB | Edimax | И.Б.-LR6111A | iBall |
| Arc-DSL-WLAN-модем 100 | Arcor | И.Б.-WR6111A | iBall |
| Arc-DSL-WLAN-модем 200 | Arcor | И.Б.-WR7011A | iBall |
| AZ-D140W | Azmoon | И.Б.-WRA150N | iBall |
| Миллиард неба | миллиард | И.Б.-WRA300N | iBall |
| BiPAC 5102C | миллиард | И.Б.-WRA300N3G | iBall |
| BiPAC 5102S | миллиард | IES1248-51 | Zyxel |
| BiPAC 5200S | миллиард | KN.3N | Краун |
| BIPAC-5100 ADSL-маршрутизатор | миллиард | KN.4N | Краун |
| BLR-TX4L | буйвол | KR.KQ | Краун |
| KR.KS | Краун | POSTEF-8840 | Postef |
| KR.XL | Краун | POSTEF-8880 | Postef |
| KR.XM | Краун | Prestige 623ME-T1 | Zyxel |
| KR.XM т | Краун | Prestige 623ME-T3 | Zyxel |
| KR.YL | Краун | Престиж 623R-A1 | Zyxel |
| Linksys BEFDSR41W | Linksys | Престиж 623R-T1 | Zyxel |
| LW-war2 | Световая волна | Престиж 623R-T3 | Zyxel |
| M-101A | ZTE | Престиж 645 | Zyxel |
| M-101B | ZTE | Prestige 645R-A1 | Zyxel |
| M-200 A | ZTE | Prestige 650 | Zyxel |
| M-200 B | ZTE | Prestige 650H / HW-31 | Zyxel |
| MN-WR542T | Меркурий | Prestige 650H / HW-33 | Zyxel |
| MS8-8817 | SendTel | Престиж 650H-17 | Zyxel |
| MT800u-T ADSL Router | BSNL | Prestige 650H-E1 | Zyxel |
| MT880r-T ADSL-маршрутизатор | BSNL | Prestige 650H-E3 | Zyxel |
| MT882r-T ADSL-маршрутизатор | BSNL | Prestige 650H-E7 | Zyxel |
| MT886 | SmartAX | Престиж 650HW-11 | Zyxel |
| mtnlbroadband | MTNL | Престиж 650HW-13 | Zyxel |
| NetBox NX2-R150 | Nilox | Престиж 650HW-31 | Zyxel |
| Netcomm NB14 | Netcomm | Престиж 650HW-33 | Zyxel |
| Netcomm NB14Wn | Netcomm | Престиж 650HW-37 | Zyxel |
| NP-BBRsx | Iodata | Престиж 650R-11 | Zyxel |
| OMNI ADSL LAN EE (Приложение A) | Zyxel | Престиж 650R-13 | Zyxel |
| P202H DSS1 | Zyxel | Престиж 650R-31 | Zyxel |
| P653HWI-11 | Zyxel | Престиж 650R-33 | Zyxel |
| P653HWI-13 | Zyxel | Престиж 650R-E1 | Zyxel |
| P-660H-D1 | Zyxel | Prestige 650R-E3 | Zyxel |
| P-660H-T1 v3s | Zyxel | Prestige 650R-T3 | Zyxel |
| P-660H-T3 v3s | Zyxel | Prestige 652H / HW-31 | Zyxel |
| P-660HW-D1 | Zyxel | Престиж 652H / HW-33 | Zyxel |
| P-660R-D1 | Zyxel | Престиж 652H / HW-37 | Zyxel |
| P-660R-T1 | Zyxel | Престиж 652R-11 | Zyxel |
| P-660R-T1 v3 | Zyxel | Престиж 652R-13 | Zyxel |
| P-660R-T1 v3s | Zyxel | Престиж 660H-61 | Zyxel |
| P-660R-T3 v3 | Zyxel | Prestige 660HW-61 | Zyxel |
| P-660R-T3 v3s | Zyxel | Престиж 660HW-67 | Zyxel |
| P-660RU-T1 | Zyxel | Престиж 660R-61 | Zyxel |
| P-660RU-T1 v3 | Zyxel | Престиж 660R-61C | Zyxel |
| P-660RU-T1 v3s | Zyxel | Престиж 660R-63 | Zyxel |
| P-660RU-T3 v3s | Zyxel | Престиж 660R-63/67 | Zyxel |
| PA-R11T | Solwise | Prestige 791R | Zyxel |
| PA-W40T-54G | Огурцы | Prestige 792H | Zyxel |
| Cerberus P 6311-072 | Пентаграмма | RAWRB1001 | Заново |
| PL-DSL1 | Огурцы | RE033 | Roteador |
| PN-54WADSL2 | ProNet | RTA7020 Router | Макснет |
| PN-ADSL101E | ProNet | RWS54 | Connectionnc |
| Портал де Инисио | Huawei | SG-1250 | Эверест |
| SG-1500 | Эверест | TD-W8901G 3.0 | TP-Link | |
| SmartAX | SmartAX | TD-W8901GB | TP-Link | |
| SmartAX MT880 | SmartAX | TD-W8901N | TP-Link | |
| SmartAX MT882 | SmartAX | TD-W8951NB | TP-Link | |
| SmartAX MT882r-T | SmartAX | TD-W8951ND | TP-Link | |
| SmartAX MT882u | SmartAX | TD-W8961N | TP-Link | |
| Sterlite Router | Sterlite | TD-W8961NB | TP-Link | |
| Sweex MO300 | Sweex | TD-W8961ND | TP-Link | |
| T514 | смерч | Т-KD318-W | MTNL | |
| TD811 | TP-Link | Маршрутизатор TrendChip ADSL | BSNL | |
| TD821 | TP-Link | UM-A + | АСОТЕЛ | |
| TD841 | TP-Link | Маршрутизатор Vodafone ADSL | BSNL | |
| TD854W | TP-Link | vx811r | CentreCOM | |
| TD-8616 | TP-Link | WA3002-g1 | BSNL | |
| TD-8811 | TP-Link | WA3002G4 | BSNL | |
| TD-8816 | TP-Link | WA3002-g4 | BSNL | |
| TD-8816 1.0 | TP-Link | WBR-3601 | LevelOne | |
| TD-8816 2.0 | TP-Link | WebShare 111 WN | Атлантида | |
| TD-8816B | TP-Link | WebShare 141 WN | Атлантида | |
| TD-8817 | TP-Link | WebShare 141 WN + | Атлантида | |
| TD-8817 1.0 | TP-Link | Беспроводной ADSL-модем / маршрутизатор | неизвестный | |
| TD-8817 2.0 | TP-Link | Wireless-N 150 Мбит / с ADSL | ||
| TD-8817B | TP-Link | маршрутизатор | BSNL | |
| TD-8820 | TP-Link | ZXDSL 831CII | ZTE | |
| TD-8820 1.0 | TP-Link | ZXDSL 831II | ZTE | |
| TD-8840T | TP-Link | ZXHN H108L | ZTE | |
| TD-8840T 2.0 | TP-Link | ZXV10 W300 | ZTE | |
| TD-8840TB | TP-Link | ZXV10 W300B | ZTE | |
| TD-W8101G | TP-Link | ZXV10 W300D | ZTE | |
| TD-W8151N | TP-Link | ZXV10 W300E | ZTE | |
| TD-W8901G | TP-Link | ZXV10 W300S | ZTE | |
Вышеупомянутый не является исчерпывающим списком затронутых устройств. До тех пор, пока не будет доступен патч, включите брандмауэр маршрутизатора одновременно с программным брандмауэром. Хотя в статье объясняется, что такое cookie-неудача и перечисляет некоторые уязвимые устройства, я не мог придумать надлежащий метод, чтобы держать себя в безопасности, кроме того, что вы ожидаете обновления вашего поставщика.
Если у вас есть идеи по обеспечению безопасности маршрутизаторов, пожалуйста, поделитесь с нами.
Ссылка: Контрольно-пропускной пункт.
